Udo Gerhards wrote:
Hallo Sandy,
ich habe jetzt versucht, die main.cf nach Deinen Angaben zu ändern. Hier nun die aktuelle Ausgabe von "postconf -n":
alias_maps = mysql:/etc/postfix/mysql-virtual.cf biff = no broken_sasl_auth_clients = yes canonical_maps = hash:/etc/postfix/canonical command_directory = /usr/sbin config_directory = /etc/postfix daemon_directory = /usr/lib/postfix debug_peer_list = cms-solutions.info defer_transports = disable_dns_lookups = no disable_mime_output_conversion = no html_directory = /usr/share/doc/packages/postfix/html inet_interfaces = 127.0.0.1 ::1
Solange du nur im Testbetrieb ist, geht das in Ordnung. Aber sei dir darüber im Klaren, dass du Postfix so nicht über das Netzwerk ansprechen kannst. Im Augenblick horcht Postfix also nur auf localhost.
inet_protocols = all local_recipient_maps = mysql:/etc/postfix/mysql-canonical.cf
Der Name ist etwas seltsam. Hast du dich vergewissert, dass alle notwendigen Adressen über diese Abfrage enthalten sind?
mail_owner = postfix mail_spool_directory = /var/mail mailbox_command = mailbox_size_limit = 0 mailbox_transport = cyrus mailq_path = /usr/bin/mailq manpage_directory = /usr/share/man masquerade_classes = envelope_sender, header_sender, header_recipient masquerade_domains = masquerade_exceptions = root message_size_limit = 10240000 mime_header_checks = pcre:/etc/postfix/body_checks mydestination = $myhostname, localhost.$mydomain, mysql:/etc/postfix/mysql-mydestination.cf myhostname = linux.site newaliases_path = /usr/bin/newaliases queue_directory = /var/spool/postfix readme_directory = /usr/share/doc/packages/postfix/README_FILES relayhost = relocated_maps = hash:/etc/postfix/relocated sample_directory = /usr/share/doc/packages/postfix/samples sender_canonical_maps = mysql:/etc/postfix/mysql-canonical.cf sendmail_path = /usr/sbin/sendmail setgid_group = maildrop smtp_sasl_auth_enable = no smtp_use_tls = no smtpd_client_restrictions = reject_rhsbl_client rhsbl.sorbs.net, reject_rhsbl_sender rhsbl.sorbs.net, reject_rbl_client relays.ordb.org, reject_rbl_client list.dsbl.org, reject_rbl_client sbl.spamhaus.org, reject_rbl_client unconfirmed.dsbl.org, reject_rbl_client dynablock.njabl.org, reject_rbl_client dialup.blacklist.jippg.org reject_rbl_client multihop.dsbl.org, reject_rbl_client opm.blitzed.org, reject_rbl_client cbl.abuseat.org, reject_non_fqdn_sender, reject_non_fqdn_hostname
Etwas effektiver wäre es, die billigen (keine Abfragen nach außen) zuerst zu verwenden. Ich würde auch immer permit_mynetworks vorschicken, sonst schiesst du dir vielleicht noch in den Fuß. (^-^) smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_hostname, reject_rhsbl_sender rhsbl.sorbs.net, reject_rbl_client relays.ordb.org, reject_rbl_client list.dsbl.org, reject_rbl_client sbl.spamhaus.org, reject_rbl_client unconfirmed.dsbl.org, reject_rbl_client dynablock.njabl.org, reject_rbl_client dialup.blacklist.jippg.org, reject_rbl_client multihop.dsbl.org, reject_rbl_client opm.blitzed.org, reject_rbl_client cbl.abuseat.org, reject_rbl_client zombie.dnsbl.sorbs.net, reject_rbl_client blackholes.easynet.nl, reject_rbl_client cbl.abuseat.org, Du hast wirklich eine MENGE Blacklists hier versammelt. Kennst du die tatsächlich alle oder ist das eine Sammelliste aus 315 verschiedenen How-Tos?
smtpd_delay_reject = yes smtpd_helo_required = yes smtpd_helo_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unaut_destination, reject_non_fqdn_hostname, reject_invalid_hostname,
Okay, HELO ist so in Ordnung. Sei dir darüber im Klaren, dass die hostname checks vielleicht auch mal einen Server treffen, der nur falsch konfiguriert ist. Dann musst du eben vor dem hostname check, aber NACH reject_unauth_destination eine whitelist einrichten.
smtpd_recipient_restrictions = reject_invalid_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unauth_pipelining, permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, reject_rbl_client zombie.dnsbl.sorbs.net, reject_rbl_client relays.ordb.org, reject_rbl_client opm.blitzed.org, reject_rbl_client list.dsbl.org, reject_rbl_client sbl.spamhaus.org, reject_rbl_client blackholes.easynet.nl, reject_rbl_client unconfirmed.dsbl.org, reject_rbl_client dynablock.njabl.org, reject_rbl_client dialup.blacklist.jippg.org, reject_rbl_client cbl.abuseat.org, permit
Hier gibt es noch etwas Chaos. smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_invalid_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient, Den Rest der Blacklists habe ich zu den client restrictions gepackt.
smtpd_sasl_auth_enable = yes smtpd_sasl_local_domain = smtpd_sasl_security_options = noanonymous smtpd_sender_restrictions = smtpd_use_tls = no strict_8bitmime = no strict_rfc821_envelopes = no transport_maps = hash:/etc/postfix/transport unknown_local_recipient_reject_code = 550 virtual_alias_maps = mysql:/etc/postfix/mysql-virtual.cf
Nachdem ich nun bei "smtpd_helo_restrictions" folgende Werte auskommentiert habe
... reject_non_fqdn_hostname, reject_invalid_hostname, ...
und sie jetzt aktiv sind, kann ich keine Mails mehr über localhost verschicken. Er rejected mir die E-Mails mit der Begründung, daß er einen full qualified hostname braucht. Ist das jetzt so in Ordnung oder sollte er Mails per "telnet localhost 25" akzeptieren.
Deshalb vor solchen Restriktionen eben permit_mynetworks setzen. (^-^) Siehe oben. Sandy PS: Bitte nicht immer alles zitieren, das ist fast so nervend wie über dem Text zitieren. Schreibe einfach inline deinen Kommentar zu der passenden Textstelle und lösche den Rest. -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com